개발자와의 인터뷰: 오스만 데미르

저희는 새로운 인터뷰 를 SOC Prime의 개발자 프로그램 참가자와 함께 소개합니다 (https://my.socprime.com/en/tdm-developers). 오스만 데미르를 만나보세요.자신에 대해 그리고 위협 사냥 경험에 대해 조금 이야기해 주세요.안녕하세요, 저는 오스만 데미르입니다. 저는 터키 이스탄불에 살고 있으며, 25세입니다. 2017년에 컴퓨터공학 교육을 마쳤고, 현재 민간 기관에서 보안 엔지니어로 일하고 있습니다.
저는 2년 동안 위협 사냥을 해왔습니다. 저는 SOC 팀에서 현재의 위협 감지와 그 통합에 참여하고 있습니다.
저는 위협 사냥에 대한 세계적인 핫뉴스를 팔로우하고, 공격 그룹의 연구 방법을 조사하며, 탐지 규칙을 개발합니다. 저는 공격 그룹을 따라잡기 위해 최선을 다하고 있습니다.위협 사냥과 위협 탐지의 차이점은 무엇인가요?위협 사냥은 기관에 위협이 될 수 있는 공격이 완전히 성공하기 전에 가능한 한 빨리 공격을 감지하는 과정입니다. 위협 사냥에서는 인간 요소가 더 중요합니다.
위협 탐지는 공격의 전반적인 탐지 과정을 포함합니다. 위협 탐지 제품에 대한 이해도가 높아야 하고 시스템의 로그를 잘 확인해야 합니다.Sigma가 위협 사냥을 위해 그렇게 효율적인 도구로 만드는 이유는 무엇이라고 생각하시나요?Sigma는 보편적인 언어를 제공합니다. 이를 통해 Sigma 규칙은 제품에 상관없이 SIEM 시스템에 쉽게 통합될 수 있습니다.
기관은 자신들이 파악한 공격의 탐지 규칙을 제품과 상관없이 다른 기관과 쉽게 공유할 수 있습니다.
Sigma의 간단하고 유연한 구조 덕분에 포괄적인 규칙을 작성할 수 있습니다.위협 사냥을 위한 Sigma 규칙을 개발하는 데 필요한 기술은 무엇인가요?무엇보다 먼저 호기심이 많고 연구자이어야 합니다. 최신 위협 규칙을 연구하고 탐지 방법을 추출해야 합니다. Sysmon과 Auditd 로그를 잘 알고 있어야 합니다. 웹 측에 나타나는 공격 벡터를 탐지하기 위해 웹 액세스 로그를 숙달해야 합니다. 일반적으로 로그 소스를 숙달해야 합니다.탐지하기 가장 복잡한 위협 유형은 무엇인가요? 실제 사례를 제공해 주실 수 있나요?탐지하기 가장 어려운 것은 0day 위협입니다. 0day 공격에 대한 정보가 게시되지 않았기 때문에 이벤트 기록에 대한 아이디어를 실행할 수 없고, 오직 예측적 탐지 방법만 작성할 수 있습니다.
일상 생활에서의 예를 들자면 smbv3 RCE (CVE-2020-0796) 공격에 대한 탐지 방법은 작성할 수 없었고, 오직 예측적 탐지 규칙만 작성할 수 있었습니다.SOC Prime의 위협 현상금 프로그램이 가져다주는 가장 큰 이점은 무엇이라고 생각하시나요?저의 예를 들면, SOC Prime의 위협 현상금 프로그램은 제 연구자 정체성을 유지하는 데 도움을 줍니다.
당신의 규칙이 기업의 사이버 보안 프로세스를 돕고 있다는 것을 아는 것은 영광입니다.
가장 중요한 부분은 이 프로그램으로부터 돈을 벌 수 있다는 것입니다.데이터 유출은 많은 조직이 직면하고 있는 매우 일반적인 문제입니다. 무책임한 직원이 원인이 아닌 경우, 데이터를 유출하지 않기 위해 어떤 조치가 가장 효율적일 것이라고 생각하시나요?이를 위한 가장 효과적인 탐지 방법은 DLP 제품을 사용하고 사용자들의 출력 트래픽을 풀 패킷 데이터로 기록하는 것입니다. 이렇게 하면 나가는 패키지를 분석하고 탐지 규칙을 개선할 수 있습니다.
중요한 데이터(개인 정보, 고객 데이터)는 잘 모니터링되고 무단 접근/비정상적인 시간은 항상 검토해야 합니다.경험 많은 위협 사냥꾼으로서, 강력한 사이버 방어를 구축하고자 하는 조직의 #1 우선순위는 무엇이라고 생각하시나요? (그리고 그 이유는 무엇인가요?)강력한 사이버 보안은 능동적인 사람들로 구성된 커뮤니티로 이루어져야 합니다. 이는 연구자와 개발자를 함께 모아야 가능합니다.
제품에 대한 투자는 인적 교육을 위한 것이 아니라면 의미가 없습니다.

Best Regards,
Osman Demir